GhostWriter APT IOCs - Part 5

security IOC
Опубликовано

CERT-UA зафиксирована очередная кибератака группировки GhostWriter (UAC-0057).

Так, обнаружен файл "Сборник_тез_НУОУ_23.rar", содержащий эксплойт для уязвимости CVE-2023-38831, успешная эксплуатация которой приведет к выполнению BAT-файла "16872_16_2023_03049.pdf .cmd", что обеспечит запуск LNK-файла "16872_16_2023_03049.lnk", который, с помощью утилиты mshta.exe, выполнит встроенный в файл-ярлык HTA-файл.

Запуск HTA-файла приведет к созданию на ЭВМ документа-приманки "16872_16_2023_03049.pdf" ("Всеохоплююча оборона: досвід протидії збройній агресії рф проти України") и выполнению JavaScript-кода, предназначенного для загрузки изображения "113-1131910-clipart. svg", получения по смещению и дешифровки с помощью алгоритма Rabbit .NET-файла (дата компиляции: 2023-08-29 06:07:09), который, в свою очередь, обеспечит поражение ЭВМ программой Cobalt Strike Beacon (дата компиляции "regsvr.dll": 2023-08-21 14:04:21). Упомянутый JavaScript-файл, фактически, является вариантом реализации функционала ранее используемого лоадера PicassoLoader.

Обращаем внимание на активную эксплуатацию уязвимости CVE-2023-38831 в программном обеспечении WinRAR. На текущее время в произвольном доступе размещен PoC (Proof of Concept) для генерации ZIP-архивов с соответствующей структурой.

Уязвимость с идентификатором CVE-2023-38831 касается программного обеспечения WinRAR версии <6.23. Создает технические условия для произвольного выполнения кода в специально созданном ZIP-архиве, содержащем одноименные файл (легитимный) и папку, в которой может находиться исполняемый файл, например, BAT-скрипт.

Indicators of Compromise

IPv4

  • 31.192.234.194
  • 62.3.12.123

Domains

  • topibuzz.space
  • windacarmelita.pw

URLs

  • https://topibuzz.space/home/mngr/create
  • https://topibuzz.space/home/mngr/example
  • https://windacarmelita.pw/picdir/big/113-1131910-clipart.svg

MD5

  • 2b694c66d008f93cb00fee7e4a19454d
  • 6af097ee174e137043a8caad109b32f2
  • 78f43f82ef8b089be1f7595d3dc4783d
  • 929ca18a895691b7d5ece50d27d973ed
  • a793babcdb65000d960b995b2a802da3
  • b8677089b9c6a2c1f1172a4a95328116
  • bbfad6b64df6a61b1801dd7010f2f423
  • ccc92901e562a154ba98cd2f74603969
  • e27c4d195399b3c4a9972aaa5f4a6522

SHA256

  • 0f2d4e3e03cd7fb5e58e4d978ad7806cffff63a59f5847a4d5df1b16643eeabf
  • 2098c90911a06b1efd3f1b57ea0eb9164ea9a1c58de3d6bb0967787ff9d90dad
  • 2da0b53a08c2d0a1de0aeb9d7b7f0e6b5d0eb737e6cc0cbeee703f4eff416c26
  • 364b0b8e2cb58fccdc07d668176ecb7a70e8827cc539a9643283c255bfdb1b79
  • 6a29591e27f7f56e65038e5d91fbbc6c3d19da24ddddc45a51e959d0c732d4d9
  • 945289b81fc99b1dc61d463dcf215881d290a060b77e3a542d84bc327ad647b7
  • ddf0e3d25ebe171196123c011220f0071bd2636cd2d0a9f64d1341a114a0dd92
  • f3d8c34443457d32de3c2687619037015e12bd2222c0e457e8c79fda2906d424
  • f4a3fa477a566fe8b395a9b003d89631b1378c9fb553a1f88ad4afea53cf40e8
Похожие записи:
  1. FRwL APT IOCs
  2. GhostWriter APT IOCs - Part 2
  3. GhostWriter APT IOCs - Part 3
  4. Ghostwriter APT IOCs
  5. Armageddon APT IOCs
APT CERT-UA Cobalt-Strike Beacon CVE-2023-38831 Ghostwriter
Добавить комментарий